MSC 2013で使用した資料です

1. アーキテクチャー設計者必見
最新の
～
による
とハイブリッドな認証基盤の実現
からパブリッククラウド連携まで ～
日本マイクロソフト株式会社
デベロッパー＆プラットフォーム統括本部
エバンジェリスト
安納 順一
1

2. Agenda & Takeaway
• Active Directory ドメイン 設計に要求される変化
• オンプレミス における AD DS と AD FS の役割
• AD DS/AD FS と Windows Azure Active Directory の連携
• パブリッククラウドにおける
Windows Azure Active Directory の役割
デモンストレーションを交えながらお伝えします！
2

3. マイクロソフトの IdP プラットフォーム全体像
Consumer
Microsoft Account
(Windows Live ID）
Enterprise
Windows Azure
Active Directory
Windows Server
Active Directory
FIM
Windows 8
Microsoft
全製品
他社 IdP
Microsoft
全 OS
HR
3

4. Windows Azure Active Directory
definitely
not !
Windows Server Active Directory
(on premise / on Azure IaaS)
4

5. 典型的な Active Directory の使い方
企業や組織に閉じた利用
Active Directory ドメイン
AD CS
AD RMS
証明書発行
データ暗号化
ファイルサーバ
アクセス制御
Windows
クライアント
ID/Pass で Sign-in
グループポリシーによる統制
アカウント管理
AD DS
ア
ク
セ
ス
制
御
メールサーバー
WEB サーバー
DB サーバー
5

6. Active Directory にまつわる最新２大ニーズ
• パブリッククラウドとの連携
• 個人デバイスの業務利用（BYOD）
• マルチファクター認証/認可
ドメインを超えた利用
認証と認可の精度向上
最終的にはパブリッククラウド上でIDを管理したい＝IDMaaS
office365
Web
Service
Web Service
Salesforce.com
Web
Service
Web
Service
Web Service
Web Service
Facebook.com
Web Service
Google.com
Outlook.com
Active Directory ドメイン
• 多要素認証/認可
6

7. Azure AD と AD FS が次世代 Id 基盤のカギとなる
ドメインを超えた利用（ハイブリッドな認証基盤）
office365
Active Directory ドメイン
Active Directory
Web Service
Salesforce.com
Web
Service
Web Service
Web
Service
AD DS
Google.com
AD FS
認証と認可の精度向上
個人デバイス
（ドメイン非参加デバイス）
Active Directory ドメイン
追加認証
メソッド
AD DS
Active Directory
AD FS
7

8. ハイブリッドな認証基盤
～ クラウド & オンプレミス
8

9. AD DS と AD FS が蜜月な件
AD DS ：ユーザーとデバイスを「認証」
AD FS ：認証されたユーザーとデバイスの“クレーム”を含んだ「トークンを発行」
認可②
ユーザー権限
認可①
アクセス可否
クレーム発行
クレームを受信
CONTOSO
認証したかどうか
AD FS
認証：
ユーザー特定
AD DS : Active Directory Domain Service
AD FS : Active Directory Federation Service
9

10. 他企業、他部門、他 CP からの認証を受け入れる
認可③
ユーザー権限
クレームを
受信
HTTPS
クレーム変換
認可②
アクセス可否
クレーム
発行
CONTOSO
認証したかどうか
AD FS
クレーム受信
HTTPS
クレーム発行
AD FS
NORTHWIND
認証したかどうか
AD DS
認可①
アクセス可否
10

11. 他企業、他部門、他CP からの認証を受け入れる
認可③
ユーザー権限
クレームを
受信
HTTPS
認可②
アクセス可否
クレーム
発行
CONTOSO
認証したかどうか
AD FS
クレーム受信
HTTPS
HTTPS
HTTPS
HTTPS
クレーム発行
AD FS
NORTHWIND
認証したかどうか
AD DS
認可①
アクセス可否
11

12. Firewall 外からのリクエストを受け入れるには
Web Application Proxy（Windows Server 2012 R2）を使用する
CONTOSO
クレームを
受信
HTTPS
HTTPS
AD FS
認証したかどうか
クレーム受信
AD FS PROXY
HTTPS
AD FS PROXY
HTTPS
HTTPS
クレーム
発行
クレーム発行
AD FS
NORTHWIND
認証したかどうか
AD DS
12

13. パブリッククラウド連携も同じ考え方
クレームを
受信
HTTPS
クレーム
発行
クラウド上の
クレームプロバイダー
（アイデンティティプロバイダー
HTTPS
AD FS
NORTHWIND
AD DS
13

14. パブリッククラウド側の IdP は WAAD
ハイブリッドな認証基盤
クレームを
受信
など
HTTPS
クレーム
発行
Active Directory
HTTPS
AD FS
NORTHWIND
AD DS
14

15. SAML トークンが連携のカギ
ハイブリッドな認証基盤
クレームを
受信
など
WS-Fed
SAML 2.0
クレーム
発行
Active Directory
WS-Fed
AD FS
NORTHWIND
AD DS
15

16. SAML トークンが連携のカギ
SAML 2.0/WS-Federation により他社クラウドアプリとの連携も可能
GOOGLE APPS
Salesforce.com
クレームを
受信
など
WS-Fed
SAML 2.0
クレーム
発行
Active Directory
WS-Fed
AD FS
NORTHWIND
AD DS
16

17. Windows Azure Active Directory
IDMaaS としての機能を実装したマルチテナント型のディレクトリ サービス
ディレクトリ
• ユーザー管理
• Graph API
• Auth. Library
• 認証
• ID/Password
• 多要素認証
• AD DS 同期
• Application Access
• ユーザー同期
アクセスコントロール
• ID 連携
Active Directory
多要素認証プロバイダー（有償）
• 電話応答
iOS , Android , WP 用アプリ
• ワンタイムパスワード
ADDS Azure AD
• トークン変換
17

18. ディレクトリ
アカウント情報
の管理
• ユーザー
• グループ
• デバイス
Graph
（REST API）
ディレクトリ
ID Store
（AD LDS に相当）
AD FS
（WS-Fed）
AD DS
Federation
Gateway
(AD FSに相当)
RP(SP) 側
SAML 2.0
（ECP Profile）
CP(IdP) 側
WS-Fed
WS-Fed
SAML 2.0
自社開発アプリ
3rd Party SaaS
OAuth 2.0
OR
• Shibboleth(SAML 2.0)
• Ping Federate( WS-Fed,SAML 2.0 )
http://technet.microsoft.com/en-us/library/jj679342.aspx
その他
105 サービスに対応
（ 2013/8 時点）18

19. “アプリケーション アクセス”（Preview）
• 既存 SaaS の認証を “インスタント” に WAAD に関連づける
• Google Apps, Salesforce.com はアカウント同期も可能
ア
プ
リ
ケ
ー
シ
ョ
ン
ア
ク
セ
ス
Active Directory
ID 同期
ID フェデレーション
パスワード連携
SAML対応RP
その他
事前にID/Passを登録
その他
②
①
Access Panel
19

20. Access Panel
• Windows Azure AD と関連付けられた SaaS の一覧
• ユーザーは、サービスをクリックすればよい
https://account.activedirectory.windowsazure.com/applications/
20

21. アクセス コントロール
• 外部認証サービスから RP 側へのトークン ゲートウェイ
• ACS自身は認証プロバイダーではない
WS-Fed
AD FS
WS-Fed をサポートしている CP
Oauh 2.0
2.0
CP（IdP）側
トークン
変換
Application
RP(SP)側
Federaton
Gateway.
WAAD
- Directory
OpenID
WS-Fed
OAuth
Wrap
Application
Access Control Service
21

22. ハイブリッドな認証基盤
～ 社内デバイス & 個人デバイス
22

23. 従来の AD DS/AD FS では…
認可②
ユーザー権限
クレームを
受信
HTTPS
認可①
アクセス可否
クレーム
発行
CONTOSO
認証したかどうか
AD FS
UserID/Password
・ユーザーの信頼性をチェック
・デバイスの信頼性は未チェック
ドメインの UserID で
直接アクセスする
23

24. デバイスの信頼性をチェックするには
個人デバイスを登録し、認証できる仕組みが必要
④デバイスクレームからア ③デバイスクレームを発
行しアクセス可否を判断
クセス権限を判定
クレームを
受信
HTTPS
クレーム
発行
AD FS
②デバイス
認証
①デバイス
CONTOSO
登録
認証したかどうか
デバイス情報
UserID/Password
ドメインの UserID で
直接アクセスする
24

25. デバイス レジストレーション サービス（DRS）
• 個人デバイスを Active Directory ドメインに登録する機能
（ドメイン参加ではない）
• デバイス認証が可能になり、個人デバイスの社内リソースへのアクセスを、デバイ
スクレームを使用して制御できるようになる
• DRS を使用してデバイス登録するプロセスを
AD DS
「Workplace Join」と呼ぶ
• iOS/Windows 8.1/Windows RT 8.1
②ユーザー
に対応
認証
Start
④デバイス登録
個人デバイス ①「社内ネットワークに参加」
Domain UserID/Password
Start
HTTPS
AD FS
クレーム処理
エンジン
デバイス登録
サービス
（DRS）
⑤ 証明書インストール
③デバイスクレーム
25

26. インターネットからの受け入れをどうするか
Web Application Proxy による事前認証/認可が可能
CONTOSO
クレームを
受信
HTTPS
クレーム
発行
AD FS
認証したかどうか
Web Application Proxy
26

27. 社外からの事前認証（Web Application Proxy）
• デバイス クレームとユーザークレームを使用したきめの細かいアクセス制御
• クレーム規則言語を使用
• AD FS に対応していないアプリケーションの事前認証も可能!!
AD FS
Web
Application
アクセス
Proxy
クレーム処理エンジン
デバイス認証
https
Start
事前認証
事前認証
プロセス
AD DS
Start
デバイス クレーム
ユーザー認証
ユーザー クレーム
追加認証
アクセス可否を判定
27

28. 認証と認可の精度向上
～マルチファクター認証/認可
28

29. 「追加要素」をどこに実装するか
要素数が多いほど信頼性は高くなるが、インフラやアプリに負担を強いることになる
GOOGLE APPS
Salesforce.com
Active Directory
WEB
アプリ
など
？
？
？
NORTHWIND
AD FS
AD DS
Start
追加認証プロバイダー
？
クライアント
29

30. WAAD 多要素認証プロバイダー
スマートフォンまたは携帯電話を使用した追加認証メソッド
Identity Provider
Windows Azure
Active Directory
クラウドサービス
#
AD DS + AD FS
⑧
Windows Azure Portal
サードパーティ製
WEB サービス
オンプレミス
Web Application
IE
⑥
多要素認証プロバイダー
ID/Password
①
③
⑤
④
• ワンタイムパスワード スマフォ
専用アプ
• 通知
リ
• 電話
• テキストメッセージ
30

31. BYOD にも Phone Factor が利用できる
AD FS を通過する認証/認可プロセス すべてに適用可能
AD FS
Web
Application
アクセス
Proxy
クレーム処理エンジン
デバイス認証
https
Start
事前認証
事前認証
プロセス
AD DS
Start
デバイス クレーム
ユーザー認証
ユーザー クレーム
Phone Factor
アクセス可否を判定
31

32. AD FS を介した MFA の流れ
MFA のターゲットを限定することが可能
無効
無効
有効
デバイス認証
Active Directory にデバイ
スが登録されているかどう
かを確認する
有効
プライマリ認証
（ユーザー認証）
•
•
•
Form 認証
Windows 統合
証明書
YES
マルチファクター認証
<条件>
• ユーザー/グループ
• 登録/非登録デバイス
• 外部/内部ネットワーク
NG
OK
NG
NO
認証
完了
OK
<認証方式>
• Smart Card
• Phone Factor
• その他
OK
NG
32

33. まとめ
33

34. 社内 AD DS を最大限に生かすのは AD FS である
パブリッククラウド
とのID連携
Active Directory
AD FS により社内リソースの集
中的なアクセス制御が可能
マルチファクター認証
パートナー企業
との ID 連携
Firewall
BYODデバイス登録と
デバイス認証
業務
アプリケーション
ネットワークロケーション
や IP アドレス、ユーザー属
性、デバイス属性などによ
る、多要素認証/認可
34
34

35. Windows Azure Active Directory は IDMaaS である
IdM as a Service（IDMaaS）
IdMaaS
Web
Service
Web
Service
Active Directory
Web
Service
35

36. Windows Azure Active Directory は
企業のソーシャル グラフになる
Enterprise Social Network
ドメインの枠を超えてリソース同士を結合できる
Partners
IdMaaS
IdM
業務
システム
Customers
Employees
Digital Identity
顧客
サービス
36

37. 本日のデモ環境を作るための手順書
http://technet.microsoft.com/ja-jp/windowsserver/jj649374.aspx
37

38. © 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the
part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
38

39. Appendix
復習：クレームベースの認証とは
39

40. クレーム ベース という考え方
• リソース側に渡す認可情報のフォーマットを統一（トークン、アサーション）
• 認可情報の受け渡しプロセスの統一（プロトコル）
ク
レ
ー
ム
を
発
行
ク
レ
ー
ム
を
提
示
ク
レ
ー
ム
を
判
定
CP：Claims Provider （要求プロバイダー） ＝ AD FS
RP：Relying Party （証明書利用者）
40

41. クレーム ベースの認証と認可
CP：ユーザー認証、デバイス認証を行いトークン（アサーション）を発行
RP：トークンから本人を識別し、ロールを決定してアクセスを認可する
信頼しているCPから発行されたトークンを持ってきたので「認証済み」と判定
CP
ユーザー
情報
属性ストア
信頼
クレームを格納
トークン
トークン
RP
業務
ロール
管理簿
トークンを解析
• 本人識別
• ロール決定
利用者
SAML 2.0 / WS-Fed.
41

42. セキュリティトークン
• ロールを決定するための「クレーム」は RP が提示する
• アプリケーションには「ロール」決定のためのロジックを実装
CP
Claims
mail
値
ユーザー
情報
値
name
値
属性ストア
RP
company
値
title
提
示
業務
ロール
管理簿
トークンを解析
• 本人識別
• ロール決定
署名
42

43. クレーム ベースによるアイデンティティ フェデレーション
• ドメイン（Firewall）を超えたリソースの利用
• 以下の２要素が一致しており、相互に信頼関係が成立していれば連携が可能
• プロトコル（SAML 2.0、WS-Federation、WS-Trust）& プロファイル
• トークン（アサーション）のフォーマット（SAML 1.1、SAML 2.0）
• 認証方式の違いがアプリケーションに影響しない
• アプリケーションは複数の CP を同時に受け入れられる（マルチテナント）
関連会社
A
A
ADFS
B
ADFS
関連会社
B
ADFS
C
SAML 2.0
SAML 2.0
SAML 2.0
WS-Fed
WS-Fed
（
＝
）
側は
に
を登録。
が
の違いを吸収する。
必要なクレームは
側が
に提示する。
A B C WS-Fed
ロール
管理簿
STS：Security Token Service
43

44. ここまでのまとめ
SAML/
WS-Fed
他社クラウ
ド
CP
属性ストア
認証
Offce 365
利用者
SQL
Server
AD DS
Windows Azure
AD FS
社内
WEB Apps
44

45. パブリック クラウドにおける AD FS の役割
• Active Directory ドメイン 認証をパブリック クラウドに拡張するための
ゲートウェイ
SAML/
Active Directory ドメイン
WS-Fed.
AD DS
on IaaS
Azure
仮想ネットワーク
他社クラウド
Office 365
Windows Azure
業務サービス
AD
DS
45